, и 新しい TLS 拡張機能を共同発表しました (DC) は、コンテンツ配信ネットワークを介してサイトへのアクセスを組織する際の証明書の問題を解決します。 認証局が発行した証明書の有効期間は長いため、サイトの証明書を外部サービスに転送するため、サードパーティのサービスを介してサイトへのアクセスを組織する必要があり、その代わりに安全な接続を確立する必要がある場合に困難が生じます。このサービスはさらなるセキュリティ上の脅威を生み出します。
新しい拡張機能は、多数のロード バランサを備えた大規模な分散インフラストラクチャ上で運用されているサイトにも役立つ可能性があります。 委任された資格情報により、各コンテンツ配信ノードにメイン証明書の秘密キーのコピーが保存されることがなくなります。 従来のアプローチでは、HTTPS トラフィックの送信に関与するいずれかのサーバーに対する攻撃が成功すると、証明書全体が侵害されます。 秘密キーがコンテンツ配信ネットワークに転送されると、職員による妨害行為、諜報機関の行為、または CDN インフラストラクチャの侵害の結果としてデータ漏洩の脅威が生じます。
証明書の有効期間は月や年で計算されるため、キーの漏洩が検出されなかった場合、キーにアクセスした人は、長期間にわたって検出されずにサイト トラフィック (MITM) に侵入することができます。 Cloudflareは次のようにして証明書キーを保護できます。 特別なキー サーバーはサイト所有者側で動作しますが、このモードで動作すると、トラフィック配信に大幅な遅延が発生し、追加リンクの出現により信頼性が低下し、複雑なインフラストラクチャの展開が必要になります。
提案されている TLS 拡張機能 Delegated Credentials では、追加の中間秘密キーが導入されており、その有効期限は数時間または数日間 (7 日以内) に制限されています。 このキーは、証明機関によって発行された証明書に基づいて生成され、元の証明書の秘密キーをコンテンツ配信サービスに対して秘密にし、有効期間が短い一時的な証明書のみをコンテンツ配信サービスに提供できるようにします。
中間キーの有効期限が切れた後のアクセスの問題を回避するために、元の TLS サーバー側で実行される自動更新テクノロジが提供されます。 生成には手動操作やスクリプトの実行は必要ありません。秘密キーを必要とする承認されたサーバーは、前のキーの有効期限が切れる前に、サイトの元の TLS サーバーに接続し、次の短期間の中間キーを生成します。
Delegated Credentials TLS 拡張機能をサポートするブラウザは、そのような派生証明書を信頼できるものとして扱います。 たとえば、指定された拡張機能のサポートは、Firefox のナイトリー ビルドとベータ版にすでに追加されており、about:config で「security.tls.enable_delegated_credentials」設定を変更することでアクティブ化できます。 XNUMX月中旬には、Firefoxのテスト版の一定割合のユーザーを対象とした実験も実施される予定だ」この中で、新しい TLS 拡張機能の実装の品質をチェックするために、テストリクエストが Cloudflare DC サーバーに送信されます。 委任された資格情報のサポートもすでにライブラリに組み込まれています TLS 1.3実装。
Delegated Credentials の仕様は、インターネット プロトコルとアーキテクチャの開発を担当する IETF (インターネット エンジニアリング タスク フォース) 委員会に提出されており、 、これはインターネット標準であると主張しています。 Delegated Credentials 拡張機能は、TLSv1.3 でのみ使用できます。
中間キーを生成するには、特別な X.509 拡張子を含む TLS 証明書を取得する必要があります。これは現在、DigiCert 認証局によってのみサポートされています。
出所: オープンネット.ru